Dropbox plaatst ongeldige wachtwoorden in zichtbare broncode

Zo'n 85.000 wachtwoorden die niet gebruikt mogen worden voor Dropbox zijn zichtbaar geplaatst in de broncode van de software op iOS- en Android-toestellen.

De wachtwoorden die niet gebruikt mogen worden, staan in een simpel uit te lezen script in de Dropbox-app. De ongeldige wachtwoorden werden ontdekt door onderzoeker Jerod Brennen, die het script op zijn website heeft geplaatst.

De lijst bevat zo'n 85.100 eenvoudige wachtwoorden van minstens vier tekens lang. In de lijst komen standaardwachtwoorden als 'computer', '12345', 'superman' en 'hello' voor.

De geblokkeerde wachtwoorden zijn eenvoudig te achterhalen. In het installatiebestand - APK voor Android of IPA bij Apple - is een submap opgenomen, waarin een html-pagina is geplaatst, waarin de gegevens ongecodeerd zijn opgeslagen. Iedereen die de mogelijkheid heeft om zo'n installatiebestand uit te pakken (dat kan eenvoudig met een tool als 7-Zip) kan deze gegevens bekijken.

Ook wanneer de Dropbox-app eenmaal is geïnstalleerd op een smartphone, kunnen die gegevens eenvoudig worden ingezien. Het is opmerkelijk dat Dropbox ervoor kiest om niet-toegestane wachtwoorden op te nemen in de broncode van de app zelf. Doorgaans vindt controle voor ongeldige wachtwoorden plaats op een beveiligde server, waarmee de app verbinding maakt als er wordt ingelogd.

2014-hack

In oktober 2014 werd door een hacker zo'n 7 miljoen wachtwoorden van de Dropbox-dienst buitgemaakt. Sindsdien raadt Dropbox aan sterke wachtwoorden te gebruiken en is de lijst met niet-toegestande wachtwoorden een onderdeel van dit nieuwe beveiligingsproces.

Deel dit artikel
Voeg toe aan favorieten